|
借助应用服务提供商意味着你的应用系统运行在别人的服务器上。提供商的安全可不可靠?你最好知道要问哪些问题。 越来越多的企业不是购买许可证以便在自己的计算机上运行软件,而是“租赁”应用服务提供商(A
SP)托管的软件。也就是说,公司业务在第三方管理的系统上运行,通过VPN或因特网加以访问。其优点包括:可以降低总体拥有成本、需要时付你所需的、让ASP处理软件升级等棘手问题。缺点就是可能会存在安全漏洞。外人的服务器和网络链路同你自己的系统一样安全吗?如果你所外包的应用系统在传输敏感数据,譬如信用卡号码或消费者信贷历史,这个问题就极为重要。ASP市场现状 英国电信全球服务公司的安全策略主管Mike Arnavutian声称,他的公司考虑选择的ASP要满足几个基本的安全标准,譬如安全的防火墙、验证系统、防病毒软件和安全架构。他又说,安全的物理方面也很重要,譬如性能可靠、久经考验的灾难计划。但最重要也是最容易被忽视的恰恰是这些安全问题的基础:安全策略,Arnavutian如是说。 Arnavutian说:“大多数ASP在制订及维护安全策略方面能力最提供商的访问级别,确保对方对自身员工的审查政策满足贵方标准。另外,你在制订服务级别协议时,要确保已经加入必要的条文,以便你所得到的服务就是所要求的;确保提供商的员工了解并遵守贵方的内部安全策略。最后,不要对监控活动的重要性漠然视之。必须制订条款,以确保你所得到的就是为之付费的服务。 问:我在制订合同时怎样确保—如果外包提供商的一名员工滥用我们的数据,让对方承担相应的责任? 答:确保合同防止外包提供商不正当使用数据或网络这很重要。确保合同里面有“审查权”条款;确保审查方法落实到位,查明最佳策略有没有在采用或者滥用。另外,合同上添加相应条文,详细说明如果出现不正当使用,提供商必须采用何种措施加以补救。这样就加大了提供商的责任,又能保护贵公司。 问:如果外包带来更高的安全风险,该怎样来考虑安全外包? 答:确实有这种可能。不过,视一家公司的整体外包策略及核心竞争力而定,内部管理安全服务比外包给一家信誉良好的安全服务提供商可能具有更大风险。 关键在于权衡。你不想交出控制权,所以就要确保你的网络和数据得到足够保护。第一个办法就是评估方案,确保外包是不是适合你。如果合适,就应当比较多家提供商,确定哪家拥有满足贵方需求的技能。你还要确保外包的不是管理权或者是需要访问特权信息的方面。一旦选中了提供商,就要与对方的咨询小组合作,看看你对外人管理安全是不是放心。另外,落实审查程序以便监控提供商的活动,确保贵方的安全策略得到采用,这些怎么强调都不过分。 问:在评估要不要外包安全时,需要解决哪些重要问题? 答:要问的一些重要问题有: 贵方能够承受何种风险? 成本与好处相比如何? 内部管理与跟安全合作提供商合作,哪个获得的规模经济大? 贵方的外包策略是什么? 贵方的内部审查组织有没有管理外包关系的工具或能力? 有没有必要的内部安全技能和资源?外包能否给贵方带来好处? 问:IT安全的功能哪些外包比较好、哪些应当保留? 答:外包比较好的信息安全功能包括:管理任务、服务器管理和安全监督。与自身管理框架有关或者受风险评估驱动的业务:安全策略、需求、战略及其他,还有需要特权访问的功能,这些公司都应当保留。弱。”但他并没有过于责怪ASP。“十有八九,公司买到的是它们所要求的东西—如果它们没有询问安全策略,ASP就不会卖给它们。如果你没有安全策略,就没有用来规范人员行为及网络控制访问的规则和程序。” 在向ASP了解安全策略时,通常要注意调查类似员工背景这样的细节。Arnavutian说:“要问的不仅仅是‘背景调查进行了没有?’而是要问‘对访问我方数据的人员进行了哪些调查?’”他指出,公司肯定会对在数据中心处理政府项目的拥有访问权限的所有员工进行积极的安全背景调查,不过私营部门不会自动受益于这种调查。他强调:“我们并没有对所有的数据中心进行相同级别的调查。” 如今在整个商业界,会计、人力资源和市场营销等不同职能部门的经理都在想方设法通过把某些业务外包给ASP,藉此提高所在部门的效率、降低成本。但在此过程中,他们也为安全隐患提供了可趁之机。保存在一个或多个第三方场地的数据同保存在你自己系统的数据一样安全吗?ASP和你自己系统之间的链路有多安全?负责管理你方数据的人同你自己的人一样尽职尽守吗?这些明显、笼统的问题很容易提出来,不过要想到更详细的细节性问题就要难多了。许多公司向ASP询问时问得不够具体,严重危胁到了信息安全。 为什么需要ASP? 2001年秋季,伦敦国家杂志公司的信用管理经理Paul Saunders向上司抱怨,公司的员工费用管理太麻烦了。结果他接到了任务,评估公司可不可以把费用管理通过ASP外包给第三方。 Saunders分析了市场后,马上找到了一个潜在方案。母公司即纽约市赫斯特公司已经在采用华盛顿雷德蒙德的Concur科技公司的费用管理应用系统。虽然赫斯特买了应用系统的许可软件,不过Concur还提供ASP功能。 不过,安全是一大功能。Saunders解释,作为一个策略问题,赫斯特通常尽量限制外部访问系统的权限。譬如说,伦敦子公司“在网上只有一个调制解调器,只有我们打了多年交道的编程人员才可以拨号进入。”Concur的应用系统不仅牵涉英国巴克莱信用卡公司上载员工费用的详细数据,还牵涉员工使用因特网输入费用理赔资料。显然可能会出现滥用及欺诈。 认识到这一要点后,Saunders请来了赫斯特及国家杂志公司IT部门的专家。他回忆说:“我问了些有关防火墙的基本问题,但缺乏足够技术,所以不懂对方回答的东西。” Concur实施成功表明Concur通过了这类测试。“想从因特网访问费用管理系统,就要输入由15个随机字符组成的公司名代码,还要输入用户资料及‘无法保存’的口令。每当用户登录进入系统,就要重新输入口令,”国家杂志公司的信息服务部门主管Andrew Tunley说。 从安全角度而言,因特网访问这一问题是过去所最担心的,Tunley解释,Concur的IT设施及它自己的安全方法受到的审查可要松多了。“我们没有过去进行评估,”Tunley说。“他们解释系统有多安全,这让我们感到满意,我们觉得他们的系统非常安全。” 至于Concur,它早已习惯了帮助潜在客户评估其安全。但这种帮助的性质有悖初衷。“其实,客户往往不知道该向我们问些什么,”高级产品营销经理Chris Juneau说。“客户的安全意识程度相差很大。”决定购买Concur产品许可的比较老到的大客户与决定采用ASP方式的小企业有着明显差异。Juneau说,小企业“往往提些简单的问题,对得到的答案通常很快就感到满意。” Juneau显然对Concur的多级安全系统及专门设立的ISO 17799信息安全队伍引以为豪,该队伍负责保护一千多家企业客户的费用管理数据。他说,在过去一年,使用该公司托管应用系统的美国客户没有一个上门审查存放Concur服务器的第三方设施。他又说,至于在伦敦由大东电报局拥有及管理的存放托管国家杂志公司应用系统的服务器的大楼,客户只上门过一次。确实,Concur的英国ASP客户只有10%访问过该公司设在旧阿默舍姆的欧洲总部。在总部,托管应用系统的服务器放在安全的房间里面,只有三名职员才可以进入。 这到底是不是严重的无知呢?Juneau指出,上面所说的托管环境通过了SAS 70认证(SAS 70是由美国注册会计师协会颁布的一项审计准则说明),所以排除了由普通人在车库里进行托管的可能性。而符合ISO 17799又添加了一层保障。不过对重要的安全问题表露出松懈的态度,这表明许多公司没有认识到采用ASP的一个重要理由:ASP能够廉价、有效地支持公司客户的安全规定。“推动ASP采用的不仅仅是成本效益,还有安全,”软件安全公司Black Dragon Software的CTO Chad Cook说,Cook也是《最高安全机密》一书第三版和第四版的特约作者。“就成本效益和安全而言,ASP模式是一站式服务—假如你对其已有合理认识。”尤其是对没有能力像大公司那样成立庞大安全队伍的小公司而言,Cook认为选择ASP乃明智之举。 他又说,不过问题在于“许多ASP对安全采取了千篇一律的方法。”换句话说,问到安全,你通常会听到标准的回答:防火墙、入侵检测、防病毒及用户验证功能。 “这一切是很重要,但仅仅是整体安全计划的一部分,”RightNow科技公司的CEO Greg Gianforte说。RightNow是一家ASP,负责托管全球一千多家公司的客户服务及支持应用系统。“更重要的往往是那些没被人提起的问题。”Gianforte断言。譬如说,防火墙里面的内部网络。特别是由于新一代ASP提供基于Net的多租户架构,详细了解隔离放在同一服务器上的不同客户的数据所需的机制就很重要。“上百个客户的数据实际上放在同一设备上,所以你要确保你的数据不会出现在别人的网站上。” Gianforte认为,另一个经常被忽视的方面就是,多家公司所用的应用系统实际上通过据称安全的SSL连接把几家ASP联系在一起的时候—对业务分布广泛的跨国公司来说,这种漏洞尤其有可能存在。 Gianforte说,如果向英国航空公司发送电子邮件或者进行网络查询,机票代理人用来答复的应用系统十有八九是由RightNow科技公司托管的。但代理人所需的数据不是全放在RightNow地方:有些直接来自英国航空公司自己的服务器,而有些可能来自在另一家ASP上运行的会计应用系统。结果就是,ASP连接的应用系统越多,通信链出现薄弱环节的可能性就越大。 Gianforte说,策略问题上的无知已经是司空见惯。他说:“人们通常不会询问策略问题—他们似乎对技术更感兴趣。”但决定技术成效的正是这些没有被提起的策略问题。日志保留多久?到底有没有人在查看日志?口令应该包括多少字符?口令更改频率如何?他坚持认为,诸如此类的问题都十分重要。对美国客户来说,这些问题的答案对遵守《萨班斯-奥克斯利法案》及其他最新立法而言至关重要。 连员工背景调查也不像人们想象的那么有用。当然,这种调查可能会让潜在客户心里觉得“放心”,但事实上:历史清白的人未必就能保证将来也是清白。至少有一家匿名的ASP提供商承认,他连“社会安全调查”到底包括哪些内容也不清楚,即便他公司向客户宣称:每个求职者都要通过这种调查。 所以尽管无法防范各种不测,但有一种办法就是至少可以对数据进行加密,那样ASP内部的不法分子以及能够访问ASP数据的外人就无法读取数据。这样一来,数据可能会遭到破损,但不会被真正偷走。譬如说,为全球15万个客户提供远程备份服务的ASP—SwapDrive采用了Decru的安全设备进行加密。SwapDrive CEO David Steinberge对加密技术的评价是“功能强大得连我们也无法读取加密数据。” ASP:数量激增 数据加密、背景调查、人员审查、口令策略,这些当然是明智的措施,但它们能共同成为与ASP打交道的安全方式吗?如果仅仅是与一家ASP打交道,也许是。但网络安全咨询公司SystemExperts的总裁Jonathan Gossels所担心的是,如今许多公司在与多家ASP打交道—有些美国大公司甚至在与上百家ASP打交道。 Gossels 说:“一段时间后,最后你会遇到大量的一次性安全方案。随着双方业务关系本身的不断发展,每种方案都在急剧发展。你如何确保每种关系都在安全进行—或者说目的在于安全进行?你无法保证。因为一切都在变化。” 他认为,解决办法就是一开始评估与每家ASP之间的关系的安全需求,并落实于几个标准方案当中的其中一个。譬如说,处理员工会议活动登记的ASP与处理敏感客户信息的ASP相比,其安全标准要宽得多。Gossels说:“你在提高安全的同时可以降低成本,还可以缩短进入市场的时间。” 当然,先锋集团(Vanguard Group)信息安全与紧急事件服务部门的负责人Jim Hyatt觉得这种办法合情合理。他说,先锋集团与一百多家ASP有关系,从工资单处理、网上培训到外部网络托管,不一而足。此外,这种关系只会越来越复杂。“这种情形很常见,”Hyatt说。“在考虑新的应用或服务时,我们就会想:到底是自建好还是购买好?大多数时候,出于安全和控制考虑,购买更合算。” 说到联系ASP、以一问一答的方式向对方询问,这项任务落到了Hyatt领导的信息安全队伍的肩上。贵方采用什么架构?访问控制、数据安全和灾难恢复方面实行了什么程序?怎样保存数据?怎样传输数据?据Hyatt声称,压倒一切的问题就是:与我们打交道的ASP是否知道自己在做什么、是否有安全感? 假定回答是肯定的,下一步取决于所提议的IT外包的性质以及由此带来的风险。如果风险小,客户一般不会上门访问ASP。如果ASP的工作只是托管先锋集团公开的投资报告,以便投资者通过网络访问,那么安全破坏造成的影响较小。不过,Hyatt提醒,“如果先锋集团的客户数据或员工数据要与先锋集团外面的实体进行交互,那么毫无疑问我们会进行实地考察。”考察的目的就是更加深入地检查及分析风险,确保所选ASP安全模式适合这种特定情形。之后,“把负责监控的任务交给IT组织的人员好了。” 对Hyatt而言,归根结底就是,先锋集团与一百多家ASP有关系,但从安全角度考虑,处理这些关系只有几种方式,每种情形下与ASP的相关合同义务都有明确规定。他说,这是“一大好处。”在整个美国企业界,许多CSO会赞同这番观点。 (来源:CCW)
|
